缺省情况下,启用审计服务 auditd。要了解如何启用、刷新或禁用该服务,请参见启用和禁用审计服务。
如果没有客户配置,则使用以下缺省配置:
审计所有登录事件。
审计成功和不成功的登录尝试。
审计所有用户的登录和注销事件,包括角色承担和屏幕锁定。
audit_binfile 插件处于活动状态。/var/audit 目录存储审计记录,不限制审计文件的大小,且队列大小为 100 条记录。
设置了 cnt 策略。
审计记录填满可用磁盘空间时,系统将跟踪丢弃的审计记录数。剩余百分之一的可用磁盘空间时,将会发出警告。
设置了以下审计队列控制:
生成记录锁定之前审计队列中的最大记录数是 100
阻塞的审计进程解除阻塞之前审计队列中的最小记录数是 10
审计队列的缓冲区大小是 8192 字节
将审计记录写入审计迹的时间间隔是 20 秒
要显示缺省值,请参见显示审计服务缺省值。
使用审计服务,可以设置临时值或活动值。这些值可能不同于已配置的值或属性值。
刷新或重新启动审计服务时,不会恢复临时值。
审计策略和审计队列控件均接受临时值。审计标志没有临时值。
已配置的值存储为服务的属性值,因此刷新或重新启动审计服务时会恢复这些值。
权限配置文件控制可以管理审计服务的人员。有关更多信息,请参见用于管理审计的权限配置文件。
缺省情况下,以相同方式审计所有区域。请参见审计和 Oracle Solaris 区域。